Esistono più modi per configurare il controllo in Criteri di gruppo, ma ritengo che il vecchio metodo primario (su Windows Server 2003) sia l'apertura di GPMC, la modifica del criterio di dominio predefinito (o qualsiasi criterio di dominio attivo nell'unità organizzativa e oggetti con cui si sta lavorando) e drill down dal nodo Politiche tramite Impostazioni di Windows a Impostazioni di sicurezza, per aprire il ramo Criterio di politica di controllo delle politiche locali. Esiste una sezione "Gestione account di controllo" che puoi definire.
Quanto sopra ti consente solo di controllare le modifiche all'account, ma devi renderlo praticabile riportandolo ai criteri di successo, come la password di un utente scaduta recentemente. Sfruttando OSSIM (o un altro motore di correlazione strong), è possibile combinare gli script ADSI che controllano tutti i messaggi di gestione degli account di verifica per vedere se si trattava di una modifica della password e per vedere se la password è scaduta di recente. Quindi, gli hash potrebbero essere abbinati, ecc. Anche OpenVAS potrebbe essere avviato per provare a bruteforce la password, anche se sarebbe probabilmente meglio eseguire questa attività con più dati.
Questo diventa un esercizio di personalizzazione per client / server e altri strumenti di protezione / monitoraggio dell'infrastruttura. Vorresti spostare la maturità dell'intera infrastruttura a un livello superiore, quindi presumo che tu abbia già svolto gran parte del lavoro prescritto dal Centro per la sicurezza di Internet (CIS) e / o NIST .
Se sei più greenfield e non hai implementato soluzioni personalizzate come questa in passato, sarebbe sicuramente meglio passare a una soluzione a prova di futuro come OpenIDM di ForgeRock. Questo sarebbe un progetto da diversi milioni di dollari, sei anni o giù di lì.
Se ti trovi in una grande installazione in aree dismesse, come ad esempio Fortune 500, sarebbe meglio identificare il tuo esistente IAM, IDM, Directory, ESB e altri componenti del backoffice al fine di analizzare correttamente dove inserire l'identità problemi di gestione del ciclo di vita come le reimpostazioni della password utente. È possibile che un fornitore di soluzioni esistente, come SAP, Oracle, TIBCO o Microsoft, abbia una risposta facile.
Se sei solo un negozio Microsoft (100%), allora probabilmente vorrai discutere dei loro ILM 2007 prodotto, FIM 2010 e relative soluzioni. Microsoft ha un brutto modo di cancellare queste linee di prodotti, o di cambiarle drasticamente - quindi è bello essere alla moda nella "traccia interna" e discutere direttamente con ILM / FIM e altri product manager (PM) invece di un semplice account manager (AM) o dei loro siti Web e informazioni commerciali.
Esistono altre soluzioni in più punti come ChangeAuditor for AD del software Quest, ma vorrei fai attenzione a risolvere solo un problema a breve termine, quando possono esistere chiaramente un processo aziendale e un enorme insieme di problemi di maturità commerciale / infrastrutturale.